Mail-Versand mit fremder Identität: Google beseitigt Spoofing-Lücke aus Gmail
Google hat serverseitig eine Sicherheitslücke beseitigt: Angreifer hätten sich wirkungsvoll als andere Gmail- beziehungsweise G Suite-Nutzer ausgeben können.
(Bild: Google / Wikimedia Commons)
Google hat die Server seines beliebten E-Mail-Dienstes Gmail und des Business-Pendants G-Suite am vergangenen Mittwoch gegen eine schwerwiegende Sicherheitslücke abgesichert. Angreifer hätten sie ausnutzen können, um sich in E-Mails besonders wirkungsvoll als andere Gmail- beziehungsweise G Suite-Nutzer auszugeben.
Da die Sicherheitslücke serverseitig behoben wurde, brauchen Nutzer nicht aktiv zu werden. Google schloss die Lücke rund sieben Stunden, nachdem ihre Entdeckerin Allison Husain einen detaillierten Blogeintrag nebst Proof-of-Concept zum Mail-Spoofing-Angriff veröffentlicht hatte. Ob innerhalb dieser recht kurzen Zeitspanne aktive Angriffe stattfanden, ist nicht bekannt.
Allerdings weist Husain in ihrem Blogeintrag darauf hin, Google bereits am 3. April informiert zu haben. Das Unternehmen habe allerdings die von ihr gesetzte Responsible-Disclosure-Frist nicht einhalten wollen und einen Fix nicht vor dem 17. September angekündigt, sodass sie schließlich nach rund 137 Tagen mit Details an die Öffentlichkeit ging. Kurz darauf habe Google dann doch kurzfristig die erforderlichen Sicherheitsmechanismen implementiert.
SPF und DMARC ausgehebelt
Der von Allison Husain entwickelte Spoofing-Angriff war deshalb besonders wirksam, weil er die Sicherheitsmechanismen Sender Policy Framework (SPF) und Domain-based Message Authentication (DMARC) aushebelte. Nachrichten, die diese Sicherheitschecks bestehen, werden mit höherer Wahrscheinlichkeit als vertrauenswürdig betrachtet, was im Falle tatsächlicher Angriffe in freier Wildbahn wohl zum Gelingen der Täuschung beigetragen hätte.
Die Angriffsstrategie basiert auf erweiterten Gmail-Einstellungsmöglichkeiten in der G Suite für Unternehmen. Konkret machte Husain von zwei über die Google Admin-Konsole verfügbaren Optionen Gebrauch: Sie richtete mit ihrem eigenen G Suite-Account ein Gateway für eingehende E-Mails (engl. "Inbound Gateway") ein und legte außerdem eigene E-Mail-Routing-Regeln zum Ändern des Empfängers fest ("Envelope-Empfänger ändern"). Der eingetragene Empfänger entsprach hier der Adresse des Opfers, das letztlich die gespoofte E-Mail erhalten sollte.
(Bild: ezh.es)
Im ersten Schritt schickte sie dann über das frisch eingerichtete Inbound Gateway mittels herkömmlicher Spoofing-Methoden eine E-Mail mit gefälschtem, beliebigem Gmail/G Suite-Absender an sich selbst. Das Gmail-Backend akzeptierte die eingehende Nachricht trotz fehlgeschlagener SPF- und DMARC-Checks, da es das Gateway als vertrauenswürdig einstufte. Im zweiten Schritt griffen dann die zuvor konfigurierten Routing-Regeln: Das Backend leitete die E-Mail mit dem gefälschten Absender an den eingetragenen Envelope-Empfänger weiter. Da die Nachricht aus der Perspektive des Empfänger-Servers nun (bei zugleich passendem Absender) aus dem Gmail-Backend stammte, bestand sie nun auch die Checks – und die Spoofing-Falle schnappte zu.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ovw)